Periodo di duro lavoro per gli ingegneri software di Apple, che si ritrova a correggere continui bug nelle versioni dei propri sistemi operativi. iOS è stato da poco aggiornato alla versione 9.3.1, che ha come unico compito quello di rattoppare le varie falle della precedente 9.3. L'obiettivo non è stato raggiunto, visto che da pochi giorni è nelle mani degli iscritti al Beta Program pubblico una 9.3.2 con ulteriori bugfix. Sembrava che le ultime versioni di OS X fossero esenti da gravi bug, invece una falla in iMessage ha messo a rischio tutti dati contenuti nelle nostre conversazioni.

Corretto da Apple nel marzo 2016, il bug CVE-2016-1764 portava alla divulgazione di tutti i contenuti e allegati scambiati attraverso il client Messaggi di OS X, ma questo non esclude sia possibile utilizzarlo con qualche modifica anche su iOS. Il bug non sfrutta nessun sistema complesso di gestione della memoria, né ha necessità di una particolare conoscenza informatica. Tutto l'attacco, infatti, è basato su un semplice programmino in JavaScript, che si attiva mediante un link inviato al malcapitato destinatario. Una volta cliccato, il collegamento estrae i dati dall'applicazione e li esporta ad una fonte esterna. La sicurezza di iMessage impedisce l'installazione di malware o l'accesso da parte di applicazioni esterne al servizio di messaggistica proprietario di Apple, ma rappresenta comunque una significativa violazione ai dati dell'utente, tentato dal cliccare sul link fasullo.

Il video seguente mostra l'attacco in esecuzione:

Il bug è stato scoperto da un trio di ricercatori - Joe Demesy e Shubham Shah, con l'aiuto di Matt Bryant dal team di sicurezza di Uber - che hanno segnalato il tutto ad Apple prima di mostrarne in pubblico i dettagli. Non ci sono prove però che tale vulnerabilità non sia già stata sfruttata in passato per scopi malevoli, prima che essa venisse corretta.